PCA ou PRA, beaucoup de gens le confondent ou disent que c’est la même chose, pourtant il y a de réelles différences entre les deux, le mieux c’est de détailler leurs différences, dit autrement, les entreprises avec peu de moyens financiers, se proposent de mettre en place un PRA (plan de reprise de l’activité), au lieu d’un PCA (plan de continuité de l’activité), qui est plus l’apanage des grands comptes ou des administrations.
Note de l’auteur : J’ai déjà beaucoup écrit sur le PCA et le PRA, mais il m’a semblé intéressant de réunir les deux options, qui sont parfois autonomes et très souvent complémentaires, j’ai beaucoup lu sur le sujet, et j’ai retenu une première chose, il faut toujours anticiper et préparer à l’avance son projet, sans oublier le cahier fonctionnel de charges au principe du projet, car aucun site ni organisation ne ressemble à une autre, et j’ai trouvé sur Internet toutes (ou presque), les informations que je tente d’organiser et de matérialiser dans le présent article.
En tous cas l’un ou l’autre sont la parade indispensable en cas d’arrêt ou d’interruption intempestive de l’activité et ce qu’elle qu’en soit la cause; le PCA est aussi dénommé par son nom en anglais à savoir le BCP (Business Continuity Plan); il est très connu dans les grands comptes ou les administrations, mais peu connu (pour ne dire ignoré) dans les PME, et c’est un tort.
Disaster Recovery Planning, c’est aussi l’autre nom du PRA mais en anglais, ce qu’il faut savoir, ce que cela se produit de plus en plus, que cela soit pour des raisons externes (piratages, des erreurs humaines) cyberattaques, cela se produit de plus en plus, et il faut de la sérénité et de l’efficacité pour y faire (incendies, dégâts des eaux)e face, mais avec une bonne préparation au préalable.
Le Système d’Information (SI), est un enjeu stratégique au sein des entreprises et des organismes publics, de toutes tailles, et dans tous les secteurs, le préserver est un sujet majeur pour assurer le bon fonctionnement des activités critiques, vitales et indispensables de l’entreprise notamment en cas de sinistre, qu’elle qu’en soit la nature ou la portée.
Simplifié, nous dirons que le PCA est le plan pour continuer toutes les activités et le PRA, le plan de reprise des activités (qui peut parfois inclure un ou plusieurs PRA sectoriels tels que : informatique, drh, logistique, production), dans une entité il peut y avoir plusieurs PRA, mais toujours un seul PCA.
Le PCA sera donc un document global pour l’entité, et le PRA un document sectoriel, qui parfois sera inclus dans le PCA; dans certaines grandes entreprise, il pourra y avoir même plusieurs PRA, pour mieux clarifier encore, parlons du PRA Informatique
Mais qu’est-ce qu’un Plan de Reprise/Continuité d’Activité (PRA-PCA) ? Comment le mettre en place et pourquoi? Connu des grandes entreprises, nous répétons qu’il est, hélas souvent sous-estimé et même ignoré par les PME…
Enfin pour les prestataires de services, n’oubliez pas la dimension clients, de combien de temps disposez-vous pour rétablir (Le SLA, Garanties de Services), ou dit différemment quelle durée de temps pourront accepter vos clients, de rester sans connexion informatique.
POUR QUELLES RAISONS, FAIRE UN PRA OU UN PCA
Parce que par principe l’accident ou l’incident ne se prévoit pas, il faut être capable d’anticiper son arrivée, car il arrive toujours quand on ne l’attend pas, et de plus de nos jours, la dépendance à l’informatique est omniprésente, et que souvent sans informatique toute l’activité s’arrête.
Les deux plans sont complémentaires, mais ils peuvent aussi fonctionner de manière autonome, et c’est pour cela qu’il convient de se poser les bonnes questions, lors de leurs éventuelles élaborations, pas de mise en place sans un réel audit approfondi des processus de l’entreprise.
Pour ne rien oublier, souvent il conviendra de commencer par la réalisation d’un cahier de charges fonctionnelles, ou vous devrez répondre, aux questions : quelles est ma marge de perte de données admissibles (RPO); et à cette autre : en combien de temps maximum, dois-je démarrer (RTO).
Ces deux paramètres super-importants pour votre activité, vont conditionner l’ensemble de vos démarches, actions , et surtout définir vos priorités, et vos choix. Les deux paramètres sont importants, et il n’y a pas moyen à notre connaissance de faire autrement.
Ces paramètres, fonctions ou critères, peut importe le nom que l’on souhaite lors donner, vous les retrouverez parfois en anglais, mais les conséquences sont les mêmes, et pour les puristes, nous les détaillons, en précisant les deux abréviations :
RPO / PDMA :
RPO Recovery point objective, ce qui en français donnerait , PDMA, perte de données maximale admissible, est la quantité de données qu’on estime acceptable (de perdre).
RTO / DMIA :
RTO Recovery time objective, ce qui en français donnerait , DMIA, durée maximale d’interruption admissible, est le temps d’indisponibilité que l’on estime acceptable (pour redémarrer).
Quand on met en place un PRA, faut-il également mettre en œuvre un PCA ?
« Tout dépend de la criticité, de l’activité de l’entreprise et des possibilités matérielles et financières de l’entreprise. Une entreprise peut considérer que son activité est mise en péril si elle ne peut plus exercer son activité dès la première seconde, car en plus il peut y avoir danger de vie ou de mort.
Certaines autres, vont estimer qu’une heure est le grand maximum, pour d’autres ce sera bien plus, … C’est en fonction de cela, qu’une société décidera ou pas de s’orienter vers un plan de continuité d’activité, ou de faire d’autres choix. »
Imaginez que vous gérez un site internet de réserves en lignes, et qu’il tombe en panne, non seulement vous perdrez de l’argent immédiatement, mais sans possibilités de réserver, c’est tout votre futur proche que vous mettez en danger, d’où la nécessité de rétablir et vite.
Certaines autres, vont estimer qu’une heure est le grand maximum, pour d’autres ce sera bien plus, … C’est en fonction de cela, qu’une société décidera ou pas de s’orienter vers un plan de continuité d’activité, ou de faire d’autres choix. »
Imaginez que vous gérez un site internet de réserves en lignes, et qu’il tombe en panne, non seulement vous perdrez de l’argent immédiatement, mais sans possibilités de réserver, c’est tout votre futur proche que vous mettez en danger, d’où la nécessité de rétablir et vite.
« Le PRA et le PCA sont comme une assurance automobile, si vous n’avez pas d’accident, vous n’en mesurez pas l’intérêt; et c’est lorsque l’accident est là, que vous mesurez la nécessité d’avoir pris vos précautions en vous assurant préalablement ».
La réponse à la question initiale, vous devrez vous la poser dès la rédaction du cahier des charges et surtout y répondre, mais dans la plupart des cas, le PRA externe est le plus souvent envisagé, car c’est forcément dans tous les scénarios catastrophes, celui qui revient le plus et sans cesse.
PRA, Plan de Reprises des Activités
C’est souvent par cela qu’il convient de commencer, en règle générale c’est l’une des composantes (multiples) du PCA, et le plan de reprise des activités en Informatique est fait pour mettre en œuvre tous les processus, et les moyens matériels et informatiques (technologies, hommes, outils).
Qui dans une premier temps permettront de faire face à un sinistre majeur, la notion de majeur pouvant très largement varier d’une entreprise à une autre, mais il faut bien commencer par un début, et si c’est écrit et détaillé, c’est du temps de gagné (et de l’argent).
Un sinistre peut être partiel ou total, une inondation dans un bâtiment ne peut pas être traitée comme un incident, qui aura eu pour effet de tout détruire, ou encore une cyber-attaque, qui dans la plupart des cas, ne détruit pas, mais rend inutilisables les ordinateurs et bases de travail.
C’est pour cela que le PRA peut être indépendant ou autonome, ou départemental, par exemple (informatique, production, logistique), et très souvent il viendra compléter le PCA global de l’entreprise, qui lui intégrera tous les autres éléments permettant la continuation de l’activité.
Le PRA est donc constitué de plusieurs étapes, mais il se doit d’être préparé à l’avance :
Définition et mise en œuvre des processus
Il s’agit de recenser toutes les bases essentielles, pour pouvoir faire face au sinistre.
Mise en oeuvre opérationnelle (minimale ou dégradée).
Par quoi devons-nous commencer, et qu’est ce qui nous faut au minimum pour pouvoir le faire.
Reconstitution Progressive de l’infrastructure globale.
Comment revenir à la situation d’avant crise ou sinistre, et dans quel ordre.
Personnalisation liée au contexte, de l’entité.
Cette partie est vraiment liée au contexte de l’entreprise, que produisons-nous et comment,
Dans quel contexte sommes-nous, incident total, inondation, incendie, autre ?
C’est pour cela qu’il est conseillé de dérouler un PRA ” à blanc”, le tester permettra au responsable du PRA de noter les moindres détails qui peuvent avoir l’importance, l’avantage est que lorsqu’un test est fait, la pression est moindre, même si l’on simule une situation réelle.
Le conseil, si vous devez vous atteler à la tache de réaliser un PRA, ne faites pas du simple copier/coller, prenez le temps d’étudier chaque action, et adaptez-là à votre contexte, car comme toutes les entreprises ne se ressemblent pas, les PRA ne peuvent pas être identiques.
Et puis pensez à tenir compte, une fois tous les tests faits, de tous les autres paramètres qui aident à prendre les meilleures décisions, par exemple :
- Faut-il une double alimentation électrique ?
- Faut-il une double climatisation ?
- Faut-il aussi doubler les Télécommunications (Fibre, ADSL) ?
- Faut-il un second local pour l’informatique (prévoir à minima, un local de secours).
- Pouvons-nous relancer l’activité en faisant du SaaS, en avons-nous les moyens.
- Comment accélérer la reprise de l’activité (coût d’une heure d’arrêt de la production).
- Avons-nous des moyens de redondance, chez nos prestataires (ordinateurs, Fibre, ADSL)
C’est au chef de projet, de se poser toutes ces questions et de tenter d’y apporter une réponse, si possible avant que l’incident n’arrive, car si l’incident est là, c’est trop tard, et il va manquer de temps et de moyens pour faire le nécessaire.
C’est pour cela qu’une des premières questions à se poser est de savoir, si suite à un sinistre, vous opterez pour un PRA interne / PRA externe, car les choses ne se traitent pas de la même façon (imaginez un incendie, une inondation, une coupure totale des réseaux (EDF, Télécommunications), il vous sera très difficile de tenter de repartir si vous avez choisi, UN PRA avec une reprise interne.
Le PRA prend de plus en plus d’ampleur et d’importance, et le Clusif et le SGDSN disposent d’un grand nombre de documents de qualité, nous vous suggérons de vous en informer, et vous pourrez aussi lire les recommandations que vous trouverez dans les normes suivantes :
ISO- Iso 22399, Iso 27000
ITIL- Continuity Management et Availabilité Management.
BSI – British Standard Institute : BS 25999-1 et BS 25999-2
PCA, Plan de Continuité des Activités
Il s’agit d’un ensemble d’écrits faits au préalable pour permettre, la continuité des activités d’une entreprise, le PCA est aussi parfois dénommé BCP Business Continuity Plan), mais en réalité nous parlons de la même chose et du même sujet.
Le PCA est généralement constitué par un volumineux recueil, très bien classé par rubriques, ou nous trouverons les études préparatoires, les stratégies, l’organisation ou les organisations suggérées ou proposes, pour remettre en route les principale fonctions vitales de l’entreprise.
Conseil dans tous les cas, : une procédure de PRA/ PCA n’est pas figée, il vous faudra la tenir à jour constamment et la notifier aux prestataires/partenaires qui vous accompagnent dans votre projet pour être toujours prêts, sans oublier les listes téléphoniques des principaux responsables.
PCA, quand le faire et en faut-il plusieurs ?
Il n’y a pas plusieurs PCA, un seul doit être fait, et il ne devra pas tenir compte du type de crises, ou du type de sinistres à traiter; quand l’incident est là, qu’il soit sanitaire, énergétique, naturel (incendie, inondations), il faut le traiter, et en premier lieu, il convient de relancer la production.
Un PCA ne s’invente pas “au débotté”, ni sur un coin de table, il faut généralement l’étudier et le matérialiser plusieurs mois à l’avance (c’est ce que tous les experts du sujet, vous maintiendront), mais le premier conseil est de tout mettre par écrit, en respectant l’ordre, plusieurs mois à l’avance.
Nous l’abordions précédemment sur le PRA, mais déterminons de suite où le PCA pourra être mis en action (En interne, ou en Externe), et vous aurez à le faire en fonction de vos moyens et de votre organisation de base (les backups ne suffisent pas, pour repartir), sauriez vous reprendre en SaaS.
Nous l’avons déjà écrit, aucun PCA ne peut ressembler à un autre PCA (pour le PRA c’est identique), cela va dépendre forcément de l’activité, du lieu et du contexte de l’incident, et c’est facile à comprendre, un lieu de production quel qu’il soit, n’est pas à traiter comme un hôpital.
Pour des unités de production, le cas ne se posera pas de la même façon, car il serait inconcevable (du moins dans un premier temps), de déplacer les machines-outils, et les stocks de produits finis ou semi-finis, donc il conviendra de prévoir une reprise à minima, avec les moyens du bord.
Ne surtout pas oublier la téléphonie et les connexions externes (Fibres, Adsl).
Dans un hôpital, la téléphonie aura une grande importance, mais la gestion des médicaments aussi, sans oublier forcément l’accès aux dossiers malades, pour le suivi des traitements, mais cela ne suffit pas, il faut aussi pouvoir contacter les soignants (DRH), pour organiser les équipes de crise.
Les deux (PCA/PRA) sont ils obligatoires, oui et non, une nouvelle fois, cela va dépendre de l’activité et du contexte, pour répondre à cette question, répondez d’abord à cette autre, combien de temps votre société, peut-elle se maintenir sans activité, informatique ou production.
Enfin vous ne pourrez pas ignorer certaines obligations, par exemple, que faites vous sans téléphonie, ni connections, avez vous pensé à les redonder, et si vous le faites pour les télécommunications, pensez aussi à vos outils de collaboration (CRM, listes clients).
Conclusion – Ne pas oublier d’intégrer une supervision de vos installations.
Dans tous les cas, il convient d’intégrer une supervision, avec gestion d’astreinte 24H/24 et 7J/7, car les experts vont veiller au bon fonctionnement et à la disponibilité de tous vos outils c’est la garantie pour l’entreprise de maintenir son activité et de conserver ses données critiques.
Monter des outils compliqués sans les superviser n’a pas de sens, car vous ne serez pas informé des éventuels incidents ou anomalies qui pourraient se produire sur vos applications, et sur la gestion de vos réseaux.
Que vous mettiez en place un PRA ou PCA, n’oubliez pas le but ultime recherché : garantir l’avenir de l’entreprise suite à un sinistre important, et concentrez vous sur l’essentiel, car l’un est fait pour redémarrer rapidement vos activités, et l’autre pour empêcher leur interruption.
Gardez à l’esprit que les deux procédures peuvent se compléter, et qu’en réalité elles dépendront des moyens et de budgets que vous pourrez y accorder, et ce choix, c’est au départ dans le cahier des charges que vous devrez le déterminer.
Notre dernier conseil, quel que soit votre plan, pensez à le mettre à jour, révisez le et testez le en intégralité autant que nécessaire, car la moindre peccadille omise ou oubliée, peuvent remettre en question tout votre plan et toutes vos actions.
Auteur Antonio Rodriguez, Directeur Clever Technologies